Cour d’appel de Paris, le 19 juin 2025, n°23/16507
La sécurité des opérations de paiement en ligne constitue un enjeu majeur du droit bancaire contemporain. Le développement des techniques d’hameçonnage impose aux juridictions de préciser les contours de la négligence grave susceptible de priver l’utilisateur de services de paiement de son droit au remboursement.
La Cour d’appel de Paris, dans un arrêt rendu le 19 juin 2025, apporte une contribution significative à cette question.
Une cliente titulaire d’un crédit renouvelable associé à une carte de paiement reçoit le 29 mars 2022 un courriel arborant le logo de son établissement bancaire, l’invitant à activer un dispositif de sécurité. Le lendemain, elle clique sur le lien proposé et communique ses données personnelles. Deux achats sont ensuite réalisés frauduleusement pour un montant total de 1 777,95 euros. La banque adresse à sa cliente un SMS d’alerte, ce qui permet de bloquer une troisième opération.
La cliente forme opposition puis réclamation auprès de sa banque. Celle-ci refuse le remboursement en invoquant l’authentification forte des transactions. La cliente et son époux assignent l’établissement de crédit devant le juge des contentieux de la protection. Par jugement du 8 septembre 2023, la juridiction de proximité d’Évry-Courcouronnes condamne la banque au remboursement, estimant que la preuve d’une négligence grave n’était pas rapportée. La banque interjette appel.
Devant la Cour, la banque soutient que les opérations contestées ont été authentifiées par le dispositif d’authentification forte et que la cliente a commis une négligence grave en répondant à un courriel frauduleux présentant de nombreuses anomalies. Les intimés demandent la confirmation du jugement et sollicitent des dommages et intérêts pour résistance abusive.
La question posée à la Cour était de déterminer si le fait pour un utilisateur de services de paiement de répondre à un courriel frauduleux présentant des anomalies identifiables constitue une négligence grave au sens de l’article L. 133-19 du code monétaire et financier, de nature à le priver de son droit au remboursement.
La Cour d’appel de Paris infirme le jugement entrepris. Elle retient que le courriel litigieux présentait des « anomalies flagrantes de nature à interpeller un client normalement vigilant et à éveiller sa suspicion quant à son authenticité ». Elle en déduit que la cliente « a fait preuve de négligence grave en ne prenant pas de mesure raisonnable afin d’assurer la préservation de la sécurité des dispositifs de sécurité personnalisés mis à sa disposition ».
Cet arrêt invite à examiner successivement les conditions d’engagement de la responsabilité de l’utilisateur pour négligence grave (I), puis les critères d’appréciation du caractère identifiable des anomalies d’un courriel frauduleux (II).
I. Les conditions d’engagement de la responsabilité de l’utilisateur pour négligence grave
La Cour rappelle le cadre juridique applicable à la charge de la preuve en matière d’opérations non autorisées (A), avant d’en déduire les obligations pesant sur l’utilisateur de services de paiement (B).
A. Le régime probatoire applicable aux opérations contestées
La Cour rappelle les dispositions des articles L. 133-19 IV et L. 133-23 du code monétaire et financier, aux termes desquelles il appartient au prestataire de services de paiement « de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave, à ses obligations ».
La Cour énonce une règle essentielle selon laquelle « cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ». Cette précision revêt une importance considérable. Elle interdit à la banque de se prévaloir du seul fonctionnement régulier de son système d’authentification pour établir la faute de son client.
La Cour ajoute qu’en « cas d’utilisation d’un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». Cette double exigence probatoire impose à l’établissement de crédit d’établir cumulativement le bon fonctionnement technique de son système et la négligence de son client.
B. L’obligation de préservation des dispositifs de sécurité personnalisés
La Cour vise les articles L. 133-16 et L. 133-17 du code monétaire et financier qui imposent à l’utilisateur « de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées ».
L’arrêt retient que la cliente « a fait preuve de négligence grave en ne prenant pas de mesure raisonnable afin d’assurer la préservation de la sécurité des dispositifs de sécurité personnalisés mis à sa disposition ». La formulation mérite attention. La Cour ne reproche pas à la cliente d’avoir communiqué ses codes, mais de n’avoir pas pris les précautions élémentaires permettant d’éviter cette communication.
Cette approche s’inscrit dans une conception objective de la négligence grave. Celle-ci s’apprécie au regard du comportement qu’aurait adopté un « client normalement vigilant » placé dans les mêmes circonstances. La référence à ce standard de comportement permet d’objectiver l’appréciation de la faute.
II. Les critères d’appréciation du caractère identifiable des anomalies
La Cour procède à une analyse détaillée des indices de fraude présents dans le courriel litigieux (A), dont elle tire les conséquences quant à l’imprudence de la cliente (B).
A. L’identification des indices de fraude dans le courriel
La Cour relève méthodiquement les éléments qui auraient dû alerter la destinataire du message. Elle note que « le nom complet de la banque tel que figurant sur le contrat et tous les documents adressés à ses clients est ‘[Adresse 10]’ alors que le message porte un logo qui ne correspond pas tout à fait à celui de l’appelante ».
L’arrêt souligne que « l’adresse provenait d’un email ‘[Courriel 13]’ et se revendique du ‘Service Client [Adresse 8]’, ces éléments ne correspondant à aucun élément connu contractuellement ». La Cour relève également que « le message a pour objet ‘Confirmation Mobile Innactif’, ce qui au-delà de la faute d’orthographe, interroge quant à l’objectif poursuivi ».
La Cour observe encore que « le corps du courriel reprend à trois reprises le nom de ‘CARREFOUR Bank’ alors qu’il ne s’agit pas du nom de la banque et cela apparaît en contradiction avec le logo affiché en début de message ». Elle note enfin que « les mentions légales figurant en pied de page du courriel sont celles d’une autre société ».
Cette énumération exhaustive des anomalies permet à la Cour de caractériser leur caractère flagrant. La multiplicité des indices converge vers une conclusion univoque. Un examen même sommaire du message aurait dû révéler son caractère frauduleux.
B. La caractérisation de l’imprudence au regard des circonstances
La Cour qualifie les anomalies relevées de « flagrantes » et considère qu’elles étaient « de nature à interpeller un client normalement vigilant et à éveiller sa suspicion quant à son authenticité ». Elle en déduit que la cliente « s’est montrée imprudente en cliquant sur le lien proposé ayant permis la réalisation de la fraude ».
L’arrêt prend soin de relever que « la société [Adresse 9] démontre sensibiliser régulièrement ses clients quant aux risques de fraude en leur délivrant par courriels ou sur sa page internet des consignes de prudences notamment lors de l’utilisation de l’espace en ligne ». Cette circonstance aggrave la négligence de la cliente, qui ne pouvait ignorer l’existence de tels risques.
La Cour observe également que « ce n’est que parce que la banque a elle-même adressé des SMS à sa cliente postérieurement aux deux achats réalisés que l’opération suivante a pu être bloquée ». Cette précision met en lumière la réactivité de l’établissement de crédit, contrastant avec l’imprudence initiale de la cliente.
La solution retenue s’inscrit dans un mouvement jurisprudentiel tendant à responsabiliser les utilisateurs de services de paiement face aux techniques d’hameçonnage. Elle confirme que la vigilance attendue de ces utilisateurs ne saurait se limiter à la simple vérification du logo ou de l’apparence générale d’un message. L’examen des éléments d’identification de l’expéditeur, de la cohérence interne du message et des mentions légales fait désormais partie des diligences minimales exigibles.
Nos données proviennent de la Cour de cassation (Judilibre), du Conseil d'État, de la DILA, de la Cour de justice de l'Union européenne ainsi que de la Cour européenne des droits de l'Homme.
Avocat Associé
Hassan Kohen
Avocat au Barreau de Paris • Droit Pénal & Droit du Travail
Maître Kohen, avocat à Paris en droit pénal et droit du travail, accompagne ses clients avec rigueur et discrétion dans toutes leurs démarches juridiques, qu'il s'agisse de procédures pénales ou de litiges liés au droit du travail.
La sécurité des opérations de paiement en ligne constitue un enjeu majeur du droit bancaire contemporain. Le développement des techniques d’hameçonnage impose aux juridictions de préciser les contours de la négligence grave susceptible de priver l’utilisateur de services de paiement de son droit au remboursement.
La Cour d’appel de Paris, dans un arrêt rendu le 19 juin 2025, apporte une contribution significative à cette question.
Une cliente titulaire d’un crédit renouvelable associé à une carte de paiement reçoit le 29 mars 2022 un courriel arborant le logo de son établissement bancaire, l’invitant à activer un dispositif de sécurité. Le lendemain, elle clique sur le lien proposé et communique ses données personnelles. Deux achats sont ensuite réalisés frauduleusement pour un montant total de 1 777,95 euros. La banque adresse à sa cliente un SMS d’alerte, ce qui permet de bloquer une troisième opération.
La cliente forme opposition puis réclamation auprès de sa banque. Celle-ci refuse le remboursement en invoquant l’authentification forte des transactions. La cliente et son époux assignent l’établissement de crédit devant le juge des contentieux de la protection. Par jugement du 8 septembre 2023, la juridiction de proximité d’Évry-Courcouronnes condamne la banque au remboursement, estimant que la preuve d’une négligence grave n’était pas rapportée. La banque interjette appel.
Devant la Cour, la banque soutient que les opérations contestées ont été authentifiées par le dispositif d’authentification forte et que la cliente a commis une négligence grave en répondant à un courriel frauduleux présentant de nombreuses anomalies. Les intimés demandent la confirmation du jugement et sollicitent des dommages et intérêts pour résistance abusive.
La question posée à la Cour était de déterminer si le fait pour un utilisateur de services de paiement de répondre à un courriel frauduleux présentant des anomalies identifiables constitue une négligence grave au sens de l’article L. 133-19 du code monétaire et financier, de nature à le priver de son droit au remboursement.
La Cour d’appel de Paris infirme le jugement entrepris. Elle retient que le courriel litigieux présentait des « anomalies flagrantes de nature à interpeller un client normalement vigilant et à éveiller sa suspicion quant à son authenticité ». Elle en déduit que la cliente « a fait preuve de négligence grave en ne prenant pas de mesure raisonnable afin d’assurer la préservation de la sécurité des dispositifs de sécurité personnalisés mis à sa disposition ».
Cet arrêt invite à examiner successivement les conditions d’engagement de la responsabilité de l’utilisateur pour négligence grave (I), puis les critères d’appréciation du caractère identifiable des anomalies d’un courriel frauduleux (II).
I. Les conditions d’engagement de la responsabilité de l’utilisateur pour négligence grave
La Cour rappelle le cadre juridique applicable à la charge de la preuve en matière d’opérations non autorisées (A), avant d’en déduire les obligations pesant sur l’utilisateur de services de paiement (B).
A. Le régime probatoire applicable aux opérations contestées
La Cour rappelle les dispositions des articles L. 133-19 IV et L. 133-23 du code monétaire et financier, aux termes desquelles il appartient au prestataire de services de paiement « de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave, à ses obligations ».
La Cour énonce une règle essentielle selon laquelle « cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ». Cette précision revêt une importance considérable. Elle interdit à la banque de se prévaloir du seul fonctionnement régulier de son système d’authentification pour établir la faute de son client.
La Cour ajoute qu’en « cas d’utilisation d’un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». Cette double exigence probatoire impose à l’établissement de crédit d’établir cumulativement le bon fonctionnement technique de son système et la négligence de son client.
B. L’obligation de préservation des dispositifs de sécurité personnalisés
La Cour vise les articles L. 133-16 et L. 133-17 du code monétaire et financier qui imposent à l’utilisateur « de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées ».
L’arrêt retient que la cliente « a fait preuve de négligence grave en ne prenant pas de mesure raisonnable afin d’assurer la préservation de la sécurité des dispositifs de sécurité personnalisés mis à sa disposition ». La formulation mérite attention. La Cour ne reproche pas à la cliente d’avoir communiqué ses codes, mais de n’avoir pas pris les précautions élémentaires permettant d’éviter cette communication.
Cette approche s’inscrit dans une conception objective de la négligence grave. Celle-ci s’apprécie au regard du comportement qu’aurait adopté un « client normalement vigilant » placé dans les mêmes circonstances. La référence à ce standard de comportement permet d’objectiver l’appréciation de la faute.
II. Les critères d’appréciation du caractère identifiable des anomalies
La Cour procède à une analyse détaillée des indices de fraude présents dans le courriel litigieux (A), dont elle tire les conséquences quant à l’imprudence de la cliente (B).
A. L’identification des indices de fraude dans le courriel
La Cour relève méthodiquement les éléments qui auraient dû alerter la destinataire du message. Elle note que « le nom complet de la banque tel que figurant sur le contrat et tous les documents adressés à ses clients est ‘[Adresse 10]’ alors que le message porte un logo qui ne correspond pas tout à fait à celui de l’appelante ».
L’arrêt souligne que « l’adresse provenait d’un email ‘[Courriel 13]’ et se revendique du ‘Service Client [Adresse 8]’, ces éléments ne correspondant à aucun élément connu contractuellement ». La Cour relève également que « le message a pour objet ‘Confirmation Mobile Innactif’, ce qui au-delà de la faute d’orthographe, interroge quant à l’objectif poursuivi ».
La Cour observe encore que « le corps du courriel reprend à trois reprises le nom de ‘CARREFOUR Bank’ alors qu’il ne s’agit pas du nom de la banque et cela apparaît en contradiction avec le logo affiché en début de message ». Elle note enfin que « les mentions légales figurant en pied de page du courriel sont celles d’une autre société ».
Cette énumération exhaustive des anomalies permet à la Cour de caractériser leur caractère flagrant. La multiplicité des indices converge vers une conclusion univoque. Un examen même sommaire du message aurait dû révéler son caractère frauduleux.
B. La caractérisation de l’imprudence au regard des circonstances
La Cour qualifie les anomalies relevées de « flagrantes » et considère qu’elles étaient « de nature à interpeller un client normalement vigilant et à éveiller sa suspicion quant à son authenticité ». Elle en déduit que la cliente « s’est montrée imprudente en cliquant sur le lien proposé ayant permis la réalisation de la fraude ».
L’arrêt prend soin de relever que « la société [Adresse 9] démontre sensibiliser régulièrement ses clients quant aux risques de fraude en leur délivrant par courriels ou sur sa page internet des consignes de prudences notamment lors de l’utilisation de l’espace en ligne ». Cette circonstance aggrave la négligence de la cliente, qui ne pouvait ignorer l’existence de tels risques.
La Cour observe également que « ce n’est que parce que la banque a elle-même adressé des SMS à sa cliente postérieurement aux deux achats réalisés que l’opération suivante a pu être bloquée ». Cette précision met en lumière la réactivité de l’établissement de crédit, contrastant avec l’imprudence initiale de la cliente.
La solution retenue s’inscrit dans un mouvement jurisprudentiel tendant à responsabiliser les utilisateurs de services de paiement face aux techniques d’hameçonnage. Elle confirme que la vigilance attendue de ces utilisateurs ne saurait se limiter à la simple vérification du logo ou de l’apparence générale d’un message. L’examen des éléments d’identification de l’expéditeur, de la cohérence interne du message et des mentions légales fait désormais partie des diligences minimales exigibles.